本記事は2017年6月6日に公開したものをアップデートしたものです。
Windowsのイベントログをsyslog形式にしてシスログサーバーへ転送するには、Windowsにエージェントソフトの導入が必要になります。
今回は、SSB ライセンスで利用できる「syslog-ng Agent for Windows」を紹介します。
SSBのライセンスはログの送信元の数(LSH=log source hosts)に応じてライセンスされます。このライセンス数の範囲内で無償でご利用できます。
syslog-ng Agent for Windows はWindowsのイベントログをsyslog形式に変換して、シスログサーバーに転送するアプリケーションです。
syslog-ng Agent for Windowsの導入手順
導入は至って簡単、インストール時にシスログサーバーのサーバー名、または、IP アドレスを設定するだけです。
[Add New Server]をダブルクリックします。
Server Propertyダイアログで[Server Name or Address]フィールドにシスログサーバーのサーバ名、または、IP アドレスを入力して[OK]をクリックします。
syslog-ng Agent for Windowsの特長
1.シンプルなGUI画面
MMCスナップインなのでWindows管理者にとっては、馴染みのある操作画面で抵抗なくすんなり操作頂けます。
2.テキストログに対応
Windowsのイベントログだけでではなく、アプリケーションが出力するログファイルのログも転送できます。例えば、VMware vCenter ServerはWindowsイベントログとは別にファイルにログを記録します。システム全体のログを管理するにはWindowsのイベントログの収集だけでは十分ではありません。
3.日本語ログメッセージに対応
エージェントアプリケーションの中には日本語版Windowsのイベントログを転送することができないものがあります。イベントログが日本語の為、転送時に文字化けしてしまうからです。UTF-8に対応していますので、日本語を含むログメッセージにも対応しています。
4.暗号化転送に対応
ログの転送にはデフォルトでTCPを使用しますが、秘匿性の高いログにはTLSを使用することができます。
5.フィルター機能
イベントログのイベントID,イベントカテゴリやメッセージテキストの内容をフィルタリングします。ブラックリストまたはホワイトリストで構成でき、正規表現を使って、ログサーバーへ必要なログだけを送信できます。
6.syslog-ngピア機能
SSBと連携して利用すると、SSBはエージェントの設定が変更されたことを確認できます。これにより、クライアントの設定監視ができ、コンプライアンスの確保が計れます。
